Aug, 2014

„Fake ID“-Sicherheitslücke bedroht Milliarden Android-Geräte

Das amerikanische Sicherheitsunternehmen Bluebox Security hat eine gefährliche Sicherheitslücke im mobilen Betriebssystem Android ausfindig gemacht. Die Sicherheitslücke besteht bereits seit Januar 2010, was bedeutet, dass Milliarden Geräte davon betroffen sind, genau genommen alle Geräte die mit Android-Versionen zwischen 2.1 und 4.4 ausgestattet sind.

Was ist die Ursache des Fehlers?

Die Lücke steckt im Paket-Installer von Android und entsteht, weil das Betriebssystem die kryptografischen Signaturen von Apps nicht genau überprüft. Für gewöhnlich sind Apps mit einer Signatur der Hersteller ausgestattet, um ihre Echtheit und Sicherheit zu verifizieren. Diese wird allerdings vom Installer nicht genau kontrolliert, wodurch schädliche Apps durch gefälschte Zertifikate das System überlisten können und im schlimmsten Fall die gleichen Zugriffsrechte wie die wichtigsten System-Apps des Android-Geräts erhalten. Das bedeutet: Selbst wenn eine App beim Download angibt, keine besonderen Zugriffsrechte zu benötigen, kann sie mit einem gefälschten Zertifikat aus der gesicherten App-Sandbox ausbrechen und auf die sensiblen Nutzerdaten zugreifen, ohne dass der User etwas davon mitbekommen könnte. Gerne gefälscht wird z.B. die Signatur des Abobe Flash-Players, weil das Programm Zugriff auf weite Teile des Systems hat. Wenn ein Programm mit einer solchen Lizenz ausgestattet ist, erhält es bei der Installation automatisch die gleichen Rechte.

Wozu Signaturen?

App-Signaturen spielen eine wichtige Rolle im Android-Sicherheitssystem.

Bestimmte Zugriffsrechte, die sensible Daten und die Kernfunktionen des Systems betreffen, sind nur einigen wenigen Programmen vorenthalten, so z.B. Adobe-Apps, die bestimmte Rechte benötigen, um das Flash Plugin zu unterstützen, das von zahlreichen Anwendungen benötigt wird. Apps, die über solche Rechte verfügen, können Konfigurationen am Gerät vornehmen und viele Datensätze überwachen, damit sich nicht groß damit auseinandersetzen muss und somit Arbeit erspart wird. Dass gefährliche und nicht vertrauenswürdige Anwendungen Grundeinstellungen der Geräte verändern können und frei auf die Daten auf dem Gerät zugreifen können, ist hingegen sicherlich nicht im Sinne des Users, wird aber durch die lasche Sicherheitsüberprüfung ermöglicht. Erschwerend kommt hinzu, dass Android erlaubt, eine App mit mehreren Signaturen auszustatten. Ein Hacker könnte folglich eine App mit verschiedenen Signaturen ausstatten, um entsprechend auch die Zugriffsrechte auf verschiedene Bereiche des Geräts zu erhalten.

Wie wird das Problem behoben?

Google hat das Problem bereits in Angriff genommen: Mit einem Update des Google Playstores sowie der Verifizierungsfunktion des Paket-Installers wurden bereits Schritte in die Wege geleitet, um die Sicherheitslücke zu schließen. Damit ist das Problem allerdings noch nicht behoben, da die Problembehandlung auch von den Geräteherstellern umgesetzt werden muss. Eine solche Verbesserung geschieht laut Bluebox Security in den folgenden drei Schritten:

  1. Google behebt den Fehler im Programmcode und sendet den neuen Code an die Hersteller.
  2. Die Hersteller bauen den neuen Code in ihre Firmware ein und senden Update-Informationen an alle entsprechenden Geräte.
  3. Das Update wird auf den Geräten installiert und die Sicherheitslücke wird geschlossen.

Was kann ich selbst tun, um mein Gerät zu schützen?

Wer sich nicht darauf verlassen möchte, dass Google und die Smartphone-Hersteller zügig die Schritte zur Behebung des Fehlers in die Wege zu leiten, hat ein paar Möglichkeiten, um sich auch eigenständig vor den Gefahren von Fake ID zu schützen und das Gerät sicherer zu machen:

  1. Zunächst sollte festgestellt werden, ob das Handy überhaupt von dem Fehler betroffen ist. Bluebox Security hat im Android Playstore speziell zu diesem Zweck den Bluebox Security Scanner bereit gestellt. Mit dem Programm lässt sich zügig herausfinden, ob Fake ID ein Problem darstellt.
  2. Der Scanner einer hochwertigen Antiviren-Software für das Smartphone ist zwar nicht in der Lage die Betrügerei der gefälschten Zertifikate zu durchschauen, aber das muss er auch gar nicht, weil er dazu in der Lage ist, gefährliche Anwendungen im Allgemeinen vom Betriebssystem fernzuhalten, egal ob mit oder ohne Zertifikat-Tricks ausgestattet. Nicht nur zu diesem Zweck sollte ein Android-Telefon mit einer solchen Software gerüstet sein: Inzwischen ist die Virenzahl, die es auf das Google-Betriebssystem abgesehen hat, so groß, dass ein Smartphone grundsätzlich genauso geschützt werden sollte wie ein Rechner.
  3. Viele kostenpflichtige Antiviren Suites für Android verfügen über nützliche Zusatzfunktionen. Eine davon ist in diesem Fall besonders nützlich: Die Programme überwachen genau, welche Apps auf welche Daten oder Anwendungen zugreifen. So lässt sich effektiv und schnell herausfinden, wenn etwas auf dem Telefon nicht mit rechten Dingen zugeht.
  4. Grundsätzlich sollten App Stores von Drittanbietern gemieden werden, da sich dort die meiste Malware für Android herumtreibt. Der Google Playstore ist zwar durchaus auch nicht zu 100% sicher, aber die Gefahr einer Infektion ist dort sehr viel unwahrscheinlich als auf anderen zwielichten App-Marktplätzen.

Sturzschäden, Displaybruch, Akku defekt – was tun bei Smartphone-Problemen?

Es wird sicherlich wenige Leute da draußen in der weiten Welt geben, die noch nie eines der üblichen Probleme bei ihrem iPhone oder Smartphones von anderen Marken hatten. Bei den einen hat der Akku eine Macke, beim nächsten der Anschluss für das Laden des Gerätes. Wiederum ein anderer meckert über einen Wackelkontakt am Stummschalter und der nächste hat sein Smartphone versehentlich fallen gelassen und dadurch eine „wunderschöne“ gesprungene Scheibe vor dem Display. Und falls das noch nicht genug ist, hat das Display auch noch einen Anzeigendefekt, weil es gebrochen ist. Selbst nicht mehr funktionierende Tasten am Smartphone können einen zur Verzweiflung bringen. All das und sicherlich auch noch einige andere sind Probleme, die in der heutigen Welt, in der nahezu jeder mit Smartphone durch die Gegend läuft, immer wieder auftreten. Aber was kann man tun?

Garantiefall prüfen

Es gibt natürlich Fälle, die unter Garantieleistungen fallen. Wenn ihr zum Beispiel gerade ein neues iPhone gekauft hat und zwei Tage später funktioniert eventuell der Homebutton nicht mehr oder der Akku hat einen defekt, dann ist das definitiv ein Garantiefall und ihr könnt in der Regel über den Shop, wo ihr es gekauft habt oder über Apple selbst das Gerät ein schicken und bekommt ein neues. Ganz wichtig: vorher Backup machen!

Selbstverschuldete Probleme

Bei Fällen, wo euer Telefon einen Sturzschaden erlitten hat (zum Beispiel Displaybruch) ist die Sache schon schwieriger. Kaum ein Hersteller wird euch hier das Gerät kostenlos tauschen. Hier gibt es in den letzen Jahren viele Reparatur-Services, wie zum Beispiel phoneklinik.com, die zum Beispiel das Display gegen einen Preis tauschen, der weniger weh tut als ein komplett neues Telefon zu kaufen.

displaybruchBildquelle: iphoneticker

 

Wenn es einen Wasserschaden gibt, ist die Sache natürlich noch etwas schwieriger und abhängig davon, wie groß das Problem schon ist.Fällt euer Smartphone wirklich einmal ins Wasser, dann ist das in erster Linie ein Sicherheitsmechanismus. Ganz wichtig: nicht sofort wieder einschalten! Denn wenn ihr an dieser Stelle einen Kurzschluss verursacht und die Technik lahm legt, kann kaum noch jemand etwas für euch tun. Deswegen unbedingt vor dem Einschalt-Versuch trocknen lassen. Tipps gibt es da sehr viele Verschiedene. Bei mir hat bisher immer 24 h auf der aufgedrehten Heizung geholfen.

Versicherungen

Wer bei solcher Technik immer etwas schusselig daher kommt, dem empfehle ich unbedingt, sich mit entsprechenden Versicherungen gegen Wasser- und Sturzschäden auszustatten. Sicherlich kostet das im Monat ein paar Euro mehr, ihr habt aber im Falle eines Falles eben nicht die Kosten zu tragen.

Ihr seht, dass es für die meisten Fälle Lösungen oder Vorbeugungs-Möglichkeiten gibt. Reparaturservices für iPhone und andere Smartphones sind im kommen und helfen euch, solange ich nicht aus Panik unüberlegte Maßnahmen ergreift, die niemandem mehr Hilfe ermöglichen.